مایکروسافت رسما اعلام کرده است که بهتدریج استفاده از کدهای احراز هویت دو مرحلهای (2FA) مبتنی بر پیامک (SMS) را برای سرویسهای مصرفی خود، از جمله اوتلوک، واندرایو، Xbox Live و ورود به حساب مایکروسافت، متوقف خواهد کرد.
به گزارش ایتنا و به نقل از TechSpot، این شرکت از صدها میلیون کاربر خود دعوت کرده است تا برای دسترسی به گزینهای امنتر و راحتتر، به «کلیدهای عبور» (Passkeyها) مهاجرت کنند. بر اساس توضیحات تیم امنیت هویت مایکروسافت، کدهای پیامک در سالهای اخیر آسیبپذیری فزایندهای در برابر حملات «جابجایی سیمکارت» (SIM-swapping)، فیشینگ و سوءاستفاده از پروتکل SS7 نشان دادهاند؛ روشی که در آن مهاجمان میتوانند بدون دسترسی فیزیکی به گوشی کاربر، پیامکها را رهگیری کنند.
چرا کلیدهای عبور بهترند؟
کلیدهای عبور روشی برای احراز هویت بدون رمز عبور هستند که بر پایه استاندارد WebAuthn (احراز هویت وب) بنا شدهاند؛ استانداردی که توسط ائتلاف FIDO و شرکتهای اپل، گوگل و مایکروسافت توسعه یافته است. برخلاف کدهای موقت ششرقمی که از طریق پیامک ارسال میشوند، کلیدهای عبور از جفتهای کلید رمزنگاری استفاده میکنند: یک کلید خصوصی که بهطور ایمن در دستگاه کاربر (و با تأیید اثر انگشت، تشخیص چهره یا PIN باز میشود) و یک کلید عمومی که روی سرورهای مایکروسافت ذخیره میگردد. از آنجا که کلید خصوصی هرگز از دستگاه کاربر خارج نمیشود و هر بار ورود نیازمند تأیید بیومتریک است، کلیدهای عبور ذاتاً در برابر فیشینگ، حملات تکراری (Replay attack ها) و رهگیری از راه دور مصون هستند. مایکروسافت ادعا میکند که کلیدهای عبور نهتنها بسیار امنتر هستند، بلکه تا چهار برابر سریعتر از تایپ کدهای پیامک عمل میکنند.
به گزارش ایتنا و به نقل از TechSpot، این شرکت از صدها میلیون کاربر خود دعوت کرده است تا برای دسترسی به گزینهای امنتر و راحتتر، به «کلیدهای عبور» (Passkeyها) مهاجرت کنند. بر اساس توضیحات تیم امنیت هویت مایکروسافت، کدهای پیامک در سالهای اخیر آسیبپذیری فزایندهای در برابر حملات «جابجایی سیمکارت» (SIM-swapping)، فیشینگ و سوءاستفاده از پروتکل SS7 نشان دادهاند؛ روشی که در آن مهاجمان میتوانند بدون دسترسی فیزیکی به گوشی کاربر، پیامکها را رهگیری کنند.
چرا کلیدهای عبور بهترند؟
کلیدهای عبور روشی برای احراز هویت بدون رمز عبور هستند که بر پایه استاندارد WebAuthn (احراز هویت وب) بنا شدهاند؛ استانداردی که توسط ائتلاف FIDO و شرکتهای اپل، گوگل و مایکروسافت توسعه یافته است. برخلاف کدهای موقت ششرقمی که از طریق پیامک ارسال میشوند، کلیدهای عبور از جفتهای کلید رمزنگاری استفاده میکنند: یک کلید خصوصی که بهطور ایمن در دستگاه کاربر (و با تأیید اثر انگشت، تشخیص چهره یا PIN باز میشود) و یک کلید عمومی که روی سرورهای مایکروسافت ذخیره میگردد. از آنجا که کلید خصوصی هرگز از دستگاه کاربر خارج نمیشود و هر بار ورود نیازمند تأیید بیومتریک است، کلیدهای عبور ذاتاً در برابر فیشینگ، حملات تکراری (Replay attack ها) و رهگیری از راه دور مصون هستند. مایکروسافت ادعا میکند که کلیدهای عبور نهتنها بسیار امنتر هستند، بلکه تا چهار برابر سریعتر از تایپ کدهای پیامک عمل میکنند.
زمانبندی گذار
مایکروسافت تأیید کرده است که حذف کدهای پیامک به صورت مرحلهای انجام خواهد شد؛ این فرآیند با ثبتنام حسابهای جدید در اواخر فصل جاری آغاز شده و طی ۱۸ ماه آینده به حسابهای موجود نیز تعمیم مییابد. کاربران همچنان میتوانند از اپلیکیشنهای احراز هویت مانند Microsoft Authenticator یا Google Authenticator به عنوان روش پشتیبان استفاده کنند. با این حال، شرکت تأکید کرده است که کلیدهای عبور اکنون در ویندوز ۱۱، ویندوز ۱۰، iOS، اندروید و مرورگرهای اصلی مانند اج و کروم پشتیبانی میشوند. مایکروسافت همچنین یک راهنمای گامبهگام برای نصب منتشر کرده است تا به کاربران کمک کند پیش از بازنشستگی کامل پشتیبانی از پیامک، این گذار را انجام دهند.